返回頂部
隱藏或顯示

業務背景

在中國,云計算市場規模在不斷擴大,三大電信運營商已建成規模化行業云平臺,各省市政務云也已基本完成一期建設,金融、零售、教育、物流、醫療、制造、傳媒等行業云也在此趨勢下競相向前發展,形成了較為良好的發展態勢。

然而,資源集中使云平臺更容易成為黑客攻擊的目標,云上的安全問題也更加突出。安全已成為用戶上云的最大阻力。IDC調研顯示,云計算所面臨的挑戰匯中,安全問題排在首位。2019年RSA大會上,云安全躍居熱詞榜首。

拓補圖

風險與挑戰

云平臺安全合規風險

云平臺安全合規風險

根據等保2.0/GBT 31167等云安全政策要求,云服務商必須滿足安全合規要求并通過相關安全審查,具備保障用戶數據和業務系統安全的能力。當用戶業務系統進行等保測評時,首先應關注云平臺是否已經測評,如未測評,則無法開展對用戶系統的測評。

云用戶安全需求難以滿足

云用戶安全需求難以滿足

傳統云平臺安全架構僅能夠對用戶提供通用的安全策略,不能適用于所有用戶。用戶因而不能根據自身業務需求選擇和管理安全組件,這將放大用戶業務系統“上云”后安全責任難以界定等風險,從而對“上云”產生顧慮。另外,不適用的安全策略也會影響用戶業務系統通過等保測評。

云平臺缺乏安全全局監測和快速響應能力

云平臺缺乏安全全局監測和快速響應能力

以防御為主的安全方案能夠讓云平臺及用戶具備應對網絡攻擊的能力,但是由于缺乏全局的安全檢測能力,云平臺運營方不得不面對碎片化的安全管理界面,不僅安全運維效率低下,而且加重了運營方的工作強度。最終導致未能及時發現安全風險。與此同時,由于缺乏快速響應能力導致不能及時處置云平臺中發生的安全事故,使得攻擊的危害進一步蔓延到其他資產,造成更大的損失。

解決思路

落實平臺自身安全合規
為用戶/業務提供安全能力
統一管理,實現安全全局監測
構建安全事件快速響應能力
功能圖片

落實平臺自身安全合規

云平臺自身安全應遵照等保2.0要求,基于云平臺業務特性,從云平臺邊界安全防護、宿主機及虛擬化安全和云管理平臺安全出發,在滿足合規的基礎上,對云平臺提供持續保護。

為用戶/業務提供安全能力

為打消用戶上云對安全風險的顧慮,云平臺應能夠為云用戶業務系統提供池化的安全資源服務,可基于軟件定義的安全資源池、OpenAD等高性能的安全硬件設備和云眼/云盾等安全云服務,供用戶自行選用和配置安全策略。除此以外,針對PaaS/SaaS等云服務模式,云平臺應基于池化安全資源服務和應用自身的訪問控制策略和安全加固措施,共同保障業務安全。

統一管理,實現安全全局監測

通過在安全運營中心構建網絡安全感知平臺,可幫助云平臺運營者實現對云內所有安全事件的全局監測和統一管理。在各業務區部署流量檢測探針,實現對云內資產日志及網絡流量的統一采集與分析。當資產的脆弱性風險和網絡攻擊等安全威脅出現時,可在第一時間發現問題,并于全網海量資產中實現威脅的精確定位。通過平臺的大數據分析能力,還原攻擊鏈,對事件進行溯源分析,以便進一步的電子取證, 節約企事業單位對通信鏈路的投資成本。

構建安全事件快速響應能力

基于網絡安全感知平臺,通過邊界、端口安全設備與平臺的聯動工作機制,以及平臺與深信服安全服務專家的聯動機制。可實現針對安全事件的快速響應,包括邊界安全網關對可疑IP的一鍵封鎖,終端安全軟件對可疑文件的一鍵隔離/查殺,以及基于安全服務專家對安全事件進一步的分析定位,快速找出威脅根源,及時處置,并針對事件溯源分析,提供修復和加固建議。

深信服云安全方案框架圖

安全管理
快速響應 智能聯動 人機協同 云端服務 事件處置 溯源分析
全局管控 全局可視 實時監測 精準定位 關聯分析 通報預警
業務/用戶安全
IaaS
DaaS
PaaS
SaaS
南北向安全
VPC隔離 入侵防御 負載均衡
訪問控制 安全審計 安全可視
數據加密 數據脫敏 數據庫審計
訪問控制及隔離 特權賬號管理 補丁管理
Web安全防護 安全傳輸 漏洞管理
按需交付
池化安全能力
安全云服務
硬件一虛多
安全資源池
東西向安全 虛擬機微隔離 訪問控制 入侵防御 主機防病毒 備份與鏡像安全
云平臺自身安全
云管平臺安全 訪問控制 通信安全 云資源監控 云操作監控 網絡隔離
物理主機及虛擬化安全
基線核查 漏洞掃描 訪問控制 流量監控 入侵防御 安全加固 虛擬資源隔離
網絡安全
安全域隔離 安全域劃分 訪問控制 網絡威脅檢測 安全審計
邊界安全防護 訪問控制 入侵防御 流量精洗 安全接入 負載均衡

方案實現

基于核心交換設備、虛擬防火墻、EDR和下一代防火墻構建云管理平面與業務平面、虛擬機與宿主機、不同安全級別的等保業務區、不同用戶的虛擬網絡VPC以及虛擬機微隔離五個層面的網絡隔離。基于下一代防火墻、應用交付、上網行為管理等構建邊界立體防御體系,VPN網關構建安全接入平臺,堡壘機、日志審計保障云管理平臺運維安全。云平臺基于上述安全設備形成滿足等保2.0技術要求的安全合規體系。

解決方案拓補圖

基于云安全資源池、OpenAD和云眼/云盾,構建池化的安全資源服務,供用戶使用,包括負載均衡、下一代防火墻、堡壘機、日志審計等組件,用戶可根據業務需求進行安全自管理。基于安全感知平臺和流量探針,構建安全監測預警體系,實現云安全全局監測和統一管控。另外,依托深信服提供的高級威脅分析與處置服務,安全服務專家可聯動安全感知平臺的現有分析結果,協助安全運維人員實現對安全事件的及時處置。

方案優勢

快速響應
快速響應

結合安全設備之間、安全設備和安全人工服務之間的智能聯動,可構建安全事件快速響應機制。與傳統的應急響應流程相比,聯動快速響應不僅能夠縮短安全事件的處置時間,避免事件危害的進一步擴散,而且還能提升安全設備的利用效率。除此以外,依托人機共智的快速響應機制,在規避風險的基礎上,還能實現攻擊事件的溯源分析,并給出針對性的安全加固建議,防止同類事件再次發生。

智能聯動
智能聯動

構建從云內到云外,從安全設備到安全服務的多層次聯動機制。在云內,構建安全資源池管理平臺與虛擬安全組件之間的聯動機制,發揮一體化優勢,基于虛擬安全組件實現云內安全無死角監測,管理平臺對所有監測數據進行智能分析,能夠及時有效地發現外部攻擊行為和云內失陷虛機,并通過可視化報表將分析結果和處置建議發送給云服務用戶,方便用戶申請相應的安全組件,變更組件規格,修改配置策略等。在云外,構建安全資源池與態勢感知平臺之間的“云-網-端”聯動體系,實現一鍵處置。除了安全設備之間的智能聯動,安全設備與安全人工服務之間自動化、流程化的聯動也已打通,形成了針對云環境的體系化安全運營管理平臺,從而真正的實現安全閉環。

業務增值
業務增值

云平臺運營者通過為用戶提供池化的安全資源服務,在推動用戶上云,打造可信云業務的同時也避免了安全建設成為固定投入,而是將安全轉化為了一種經濟、可經營的產品,并獲得持續產出。

  • 左箭頭 右箭頭

    成功案例

    北京政務云
    數字廣東
    陜西政務云
    山西政務云
    安徽政務云
    海南政務云
    內蒙古政務云
    湖南政務云
    上海虹口政務云
    東莞政務云
    溫州政務云
    呼和浩特政務云
    上海電信天翼云
    北京電信天翼云
    浙江電信天翼云
    浙江聯通政企云
    江蘇聯通政企云
    四川交通云
    溫州交通云
    廣西警務云
    河池警務云
    上海媒體云
    寶雞工商云
    浙江大學

    ©2000-2019    深信服科技股份有限公司    版權所有    粵ICP備08126214號-5

    粵公網安備

    粵公網安備44030502002384號

    白小姐三点传密彩图